網絡關鍵設備安全通用要求解讀

本書對GB 40050-2021國家標準進行了充分解讀，基於網絡關鍵設備相關設備安全技術現狀，針對標準中6個章節內容逐條分析，說明具體條款的目的和意義，介紹條款釋義，並匯集路由器、交換機、PLC等設備樣例給出滿足標準要求的具體示例說明及驗證方式。本書可為網絡運營者採購網絡關鍵設備提供參考依據，為網絡關鍵設備的研發、測試等工作提供指導。

本書適合網絡關鍵設備的生產者、提供者、網絡的運營者和各企事單位的研究人員、測試機構的技術評測人員，以及希望瞭解網絡關鍵設備的安全人員和管理人員閱讀。

週開波，中國信息通信研究院泰爾系統實驗室副主任，工程師，電信終端產業協會（TAF）網絡設備技術與安全工作組主席。
長期從事通信網和互聯網標準和測試研究工作，實驗室網絡安全研究負責人，在網絡設備安全研究方面具有15年以上的研究經驗。對於設備監管政策和ICT產業政策有深入的了解。

張治兵，中國信息通信研究院泰爾系統實驗室網絡技術部副主任，工程師。
中國信息通信研究院網絡安全領域副主席，電信終端產業協會（TAF）網絡設備技術與安全工作組副主席。 GB 40050-2021《要求》起草組專業人士，牽頭編制了多項網絡關鍵設備安全標準。

第 1章 全書說明
第 1節 標準編制說明
第 2節 閱讀說明

第 2章 概述
第 1節 編制背景
第 2節 適用範圍
第3節 規範性引用文件
第4節 術語和定義
第5節 縮略語

第3章 設備標識安全
第 1節 硬件標識
第 2節 軟件標識

第4章 冗餘、備份恢復與異常檢測
第 1節 冗餘
第 2節 備份與恢復
第3節 異常檢測

第5章 漏洞和惡意程序防範
第 1節 已公佈漏洞
第 2節 惡意程序
第3節 後門

第6章 預裝軟件啟動及更新安全
第 1節 完整性要求
第 2節 更新要求

第7章 用戶身份標識與鑑別
第 1節 用戶身份標識和鑑別
第 2節 口令要求
第3節 安全策略和安全功能

第8章 訪問控制安全
第 1節 默認服務
第 2節 訪問受控資源
第3節 分級分權

第9章 日誌審計安全
第 1節 日誌審計功能
第 2節 日誌審計存儲和輸出
第3節 日誌審計記錄要素
第4節 日誌保護
第5節 日誌存儲異常要求
第6節 日誌存儲信息要求

第 10章 通信安全
第 1節 管理信道安全
第 2節 協議健壯性
第3節 時間同步
第4節 私有協議
第5節 抵禦常見攻擊

第 11章 數據安全
第 1節 數據保護
第 2節 數據刪除

第 12章 密碼要求

第 13章 設計和開發
第 1節 風險識別
第 2節 操作規程
第3節 配置管理
第6節 惡意程序防範
第7節 安全測試
第8節 安全缺陷、漏洞修復補救

第 14章 生產和交付
第 1節 風險識別
第 2節 完整性檢測
第3節 指導性文檔
第4節 端口映射說明
第5節 私有協議
第6節 漏洞處置

第 15章 運行和維護
第 1節 風險識別
第 2節 安全事件響應
第3節 安全缺陷、漏洞修復補救
第4節 遠程維護
第5節 完整性真實性驗證方法
第6節 設備廢棄/回收處理
第7節 二次銷售或提供設備的處理
第8節 安全維護
第9節 設備生命週期終止處理

附錄：
中華人民共和國網絡安全法
網絡關鍵設備和網絡安全專用產品目錄（第 一批）的公告
網絡安全專用產品安全認證和安全檢測任務機構名錄（第 一批）